投稿日: Aug 24, 2022

AWS WAF Fraud Control アカウント乗っ取り防止機能が、Amazon CloudFront に対応しました。AWS WAF Fraud Control アカウント乗っ取り防止は、アプリケーションのログインページを、クレデンシャルスタッフィング攻撃やブルートフォース試行などの異常なログインアクティビティから保護する機能です。この機能を使用すれば、ネットワークのエッジでアカウントの乗っ取りを未然に防げます。また、不正行為につながる未承認のアクセスを阻止したり、影響が及ぶユーザーに通知を行って予防措置を促したりできます。

アカウント乗っ取り防止は、AWS マネージドルールを通じて提供されています。AWS WAF ウェブ ACL に追加すると、アプリケーションに送信されたユーザー名とパスワードが、ウェブの他の場所で漏洩した認証情報と比較されます。また、長期的に行われたリクエストを相関付けることで、悪意のある攻撃者からの異常ログイン試行がないかモニタリングされます。これにより、不規則なログインパターン、ブルートフォース試行、クレデンシャルスタッフィングなどの攻撃が検出および軽減されます。デフォルトでは、Account Takeover Prevention は、ログインページに対してのみ動作するように制限されています。オプションの JavaScript および iOS/Android SDK の統合を利用すれば、アプリケーションにログインしようとしているデバイスに関する追加テレメトリを受け取り、ボットによる自動化ログイン試行に対するアプリケーションの保護を改善できます。また、アカウント乗っ取り防止を AWS WAF Bot Control および AWS マネージドルールと組み合わせて使用すれば、アプリケーションを標的とするボットに対抗する、包括的な防御レイヤーを構築できます。

AWS WAF Fraud Control アカウント乗っ取り防止は、アジアパシフィック (ジャカルタ) を除くすべての商用 AWS リージョンと AWS GovCloud (米国) でご利用いただけます。また今回のリリースから、Amazon CloudFront リソースの保護に対応しました。

使用を開始するには、AWS WAF コンソールを開き、新しいウェブ ACL を作成するか、既存のウェブ ACL を選択します。ウィザードに従って、保護する AWS リソースを選択します。マネージドルールグループのリストから [Account Takeover Prevention] を選択します。アプリケーションのログインページの URL を入力し、HTTP ログインリクエスト本文内の、ユーザー名とパスワードのフォームフィールドがある場所を指定します。

アカウント乗っ取り防止の料金については、AWS WAF の料金ページを参照してください。詳細については、AWS WAF のウェブサイトおよび AWS WAF デベロッパーガイドを参照してください。